Auteur Sujet: Freebox POP router + ER-X + Ipv6  (Lu 769 fois)

0 Membres et 1 Invité sur ce sujet

TheMadcapLaughs

  • Client Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« le: 15 septembre 2020 à 10:18:45 »
Bonjour,
je viens de rejoindre le forum. Je ne suis pas un expert de reseau donc désolé si mes questions sont bêtes ou si j'écris de bêtises , j'essaie d'apprendre quand même :)
J'aurais besoin de votre aide pour completer la configuration du ER-X en ipv6.
Comme par titre je suis dans une configuration en double nat (pour le moment je ne peux pas m'en passer) avec la POP en mode router et le router ER-X en face.
J'ai fait une configuration basic et à partir de la j'ai bidouillé selon mes besoins
Donc
eth0 --> WAN
switch0 (eth1-4) --> LAN

J'ai suivi le tuto mis à disposition par nanostra (merci!)
https://lafibre.info/remplacer-freebox/ipv6-sur-ubiquiti-edgerouter-8-pro-comment-faire/

et le test https://test-ipv6.com/ donne de resultat plutôt confortant par rapport à mes tentatives avec PD/Slaac/etc. (je regardais la community ubiquiti et je n'étais pas au courant du fait que free ne supporte pas du slaac).
Mon souci est que avec https://test-ipv6.com/ j'ai toujours un erreur de "délai dépassé" après 15sec sur les tests
Test with IPv6 DNS record
Test IPv6 large packet



Voici ma configuration actuelle

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name wan_local-6 {
        default-action drop
        description wan_local-6
        enable-default-log
        rule 1 {
            action accept
            description "Allow Enabled/Related state"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop Invalid state"
            log enable
            state {
                invalid enable
            }
        }
        rule 5 {
            action accept
            description "Allow ICMPv6"
            log enable
            protocol icmpv6
        }
        rule 6 {
            action accept
            description DHCPv6
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            source {
            }
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth0
                }
            }
            log enable
            protocol icmp
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            source {
                address 192.168.1.0/24
            }
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_switch0
                }
            }
            log disable
            protocol icmp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        address fe80::1/64
        description Internet
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
            }
            out {
            }
        }
        speed auto
    }
    ethernet eth1 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        speed auto
    }
    ethernet eth3 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.3.1/24
        address fe80::1:1/64
        address xxxx:xxx:xxx:xxxx::1/64
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        firewall {
            out {
                ipv6-name wan_local-6
            }
        }
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag true
                prefix xxxx:xxx:xxx:xxx::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2606:4700:4700::1111 2606:4700:4700::1001 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware enable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    wan-interface eth0
}
protocols {
    igmp-proxy {
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface switch0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
    static {
        route6 ::/0 {
            next-hop xxx::xxxx:xxxx:xxxx:xxxx {
                interface eth0
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.3.0/24 {
                default-router 192.168.3.1
                dns-server 192.168.3.1
                lease 86400
                start 192.168.3.38 {
                    stop 192.168.3.243
                }
                static-mapping Shield {
                    ip-address 192.168.3.209
                    mac-address xx:xx:xx:xx:xx:xx
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dhcpv6-server {
        shared-network-name lanv6cloudeflare {
            name-server 2606:4700:4700::1111
            name-server 2606:4700:4700::1001
            subnet fe80::1:1/128 {
            }
        }
    }
    dns {
        forwarding {
            cache-size 10000
            listen-on switch0
            name-server xxx.xx.xxx.xxx
            name-server xx.xxx.xxx.xx
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    mdns {
        reflector
    }
    nat {
        rule 10 {
            description "Captive DNS"
            destination {
                port 53
            }
            inbound-interface switch0
            inside-address {
                address 192.168.3.1
            }
            log enable
            protocol tcp_udp
            type destination
        }
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        connection xxx
    }
    upnp {
        listen-on eth0 {
            outbound-interface switch0
        }
    }
}
system {
    gateway-address 192.168.1.254
    host-name MadcapEdgeRouter
    login {
        user Madcap {
            authentication {
                encrypted-password $5$Jt8znoY.mOqCVrlH$czR7Ke3iWy95wPP9WGktSMtmxpueVYQlvshtPSUHxP0
            }
            level admin
        }
    }
    name-server xxx.xx.xxx.xxx
    name-server xx.xxx.xxx.xx
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    package {
        repository stretch {
            components "main contrib non-free"
            distribution stretch
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
}


Merci bcp pour votre aide



Zweit

  • Client Free vdsl
  • *
  • Messages: 116
  • Bieville-Beuville (14)
Freebox POP router + ER-X + Ipv6
« Réponse #1 le: 15 septembre 2020 à 21:46:47 »
Salut,

firewall {
            out {
                ipv6-name wan_local-6
            }
        }

Vu ta règle, elle ne devrait pas s'appliquer sur switch0_OUT mais sur eth0_LOCAL, sans quoi les paquets ICMPv6 ne peuvent pas faire la transmission d'informations entre le lan et la freebox  :)

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 282
  • FTTH 1Gb/s sur Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #2 le: 15 septembre 2020 à 22:40:35 »
non c'est bon en principe

pour le firewall:
 switch out = ce qui vient d'Internet

Internet --(in)--> eth0 --(out) --> cpu du routeur --(in)--> switch0 --(out)--> lan

(en bleu = l’intérieur du routeur)

et eth0_LOCAL ne concerne que le trafic pour le routeur sur son port eth0.

En IPv6 les paquets icmpv6 de contrôle doivent passer de bout en bout donc ne pas s’arrêter au routeur.

il faut que les icmpv6 passent dans les 2 sens:
serveur-->Internet --(in)--> eth0 --(out) --> cpu du routeur --(in)--> switch0 --(out)--> lan --> PC




Zweit

  • Client Free vdsl
  • *
  • Messages: 116
  • Bieville-Beuville (14)
Freebox POP router + ER-X + Ipv6
« Réponse #3 le: 16 septembre 2020 à 07:06:08 »
En effet, je me suis emmêlé les pinceaux.

En y réfléchissant, je me souviens avoir eu un soucis similaire sur un ERL, que j'avais réglé ainsi : https://lafibre.info/remplacer-freebox/freebox-erl-et-ipv6/msg657913/

TheMadcapLaughs

  • Client Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #4 le: 16 septembre 2020 à 10:58:48 »
Bonjour,
merci pour vos réponses.
Effectivement je me suis inspiré aussi de ton topic, Zweit.
Par contre je ne parviens pas à passer les deux étapes.
Suite à ce topic dans la board dev free (https://dev.freebox.fr/bugs/task/30424) j'ai essayé de changer les DNS mais ça ne change rien.

kgersen,
comment se traduit ton diagramme? est-ce que ça veut dire qui me manquent des règles dans le out de l'interface eth0 et l'IN du switch?

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 282
  • FTTH 1Gb/s sur Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #5 le: 16 septembre 2020 à 12:43:56 »
Je ne sais pas, le problème n'est peut-être pas a cause des icmpv6.

que donne le détail des erreurs (technical info dans le 2eme onglet) ?

et un test icmpv6 ( https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php par exemple) ?

TheMadcapLaughs

  • Client Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #6 le: 16 septembre 2020 à 13:32:51 »
Ce soir quand je rentre je vais faire les tests et je copie ici le résultat.
Si ça peut servir, quand je fais un ping6 depuis le routeur j'ai bien une réponse. Pareil si je le fais depuis un ordinateur connecté au routeur

ping6 google.com
PING google.com(lhr48s20-in-x0e.1e100.net (2a00:1450:4009:801::200e)) 56 data bytes
64 bytes from lhr35s01-in-x0e.1e100.net (2a00:1450:4009:801::200e): icmp_seq=1 ttl=115 time=9.82 ms
64 bytes from lhr35s01-in-x0e.1e100.net (2a00:1450:4009:801::200e): icmp_seq=2 ttl=115 time=10.1 ms
64 bytes from lhr35s01-in-x0e.1e100.net (2a00:1450:4009:801::200e): icmp_seq=3 ttl=115 time=10.1 ms
64 bytes from lhr35s01-in-x0e.1e100.net (2a00:1450:4009:801::200e): icmp_seq=4 ttl=115 time=10.1 ms
...

TheMadcapLaughs

  • Client Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #7 le: 17 septembre 2020 à 09:09:35 »
Bonjour,
voici les détails (désolé, ils sont en anglais)

Test with IPv4 DNS record       
ok (0.890s) using ipv4
Test with IPv6 DNS record       
timeout (15.010s)
Test with Dual Stack DNS record       
ok (1.174s) using ipv4
Test for Dual Stack DNS and large packet       
ok (1.115s) using ipv4
Test IPv6 large packet       
timeout (15.011s)
Test if your ISP's DNS server uses IPv6       
ok (1.539s) using ipv4
Find IPv4 Service Provider       
ok (0.929s) using ipv4 ASN 12322
Find IPv6 Service Provider       
ok (0.571s) using ipv6 ASN 12322

Test with IPv6 DNS record
timeout (15.010s)
https://ipv6.vm3.test-ipv6.com/ip/?callback=?
Fetches an object that has just an AAAA record in DNS. This is expected to use IPv6. Users not yet on the IPv6 Internet are likely to see this fail. As long as it fails quickly, it will be OK - for now.

Test IPv6 large packet
timeout (15.011s)
https://mtu1280.vm3.test-ipv6.com/ip/?callback=?&size=1600&fill=xxx...xxx
Validates that IPv6 requests with large packets work. If this test times out, but other IPv6 tests work, it suggests that there may be PMTUD issues; possibly involving IP tunnels. Double check to make sure that ICMPv6 Type 2 ("Packet Too Big") messages are not filtered by your firewall.

et le resultat du ping par le site subnetonline

IPv6 Ping Output:
PING ipv6.google.com(muc12s04-in-x0e.1e100.net (2a00:1450:4016:803::200e)) 32 data bytes
40 bytes from muc12s04-in-x0e.1e100.net (2a00:1450:4016:803::200e): icmp_seq=1 ttl=57 time=19.0 ms
40 bytes from muc12s04-in-x0e.1e100.net (2a00:1450:4016:803::200e): icmp_seq=2 ttl=57 time=18.9 ms
40 bytes from muc12s04-in-x0e.1e100.net (2a00:1450:4016:803::200e): icmp_seq=3 ttl=57 time=18.9 ms
40 bytes from muc12s04-in-x0e.1e100.net (2a00:1450:4016:803::200e): icmp_seq=4 ttl=57 time=19.0 ms

--- ipv6.google.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 18.946/18.997/19.024/0.171 ms



jeremyp3

  • Pau Broadband Country (64)
  • Client Orange Fibre
  • *
  • Messages: 508
  • FTTH 1Gb/s sur Pau (64)
Freebox POP router + ER-X + Ipv6
« Réponse #8 le: 17 septembre 2020 à 09:48:29 »
hello,

et le resultat du ping par le site subnetonline
PING ipv6.google.com(muc12s04-in-x0e.1e100.net (2a00:1450:4016:803::200e)) 32 data bytes
à mon avis, sur le site, il ne faut pas pingué google, mais ton ipv6 à toi :)


TheMadcapLaughs

  • Client Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #9 le: 17 septembre 2020 à 11:07:51 »
hello,
à mon avis, sur le site, il ne faut pas pingué google, mais ton ipv6 à toi :)

Effectivement en y réfléchissant c'est bête ce que je viens de faire

voici le résultat avec mes adresses

adresse public (celui identifié par le site https://test-ipv6.com/) ---> 4 packets transmitted, 0 received, 100% packet loss, time 2999ms

adresses ifconfig -a inet6
secured ---> 4 packets transmitted, 0 received, 100% packet loss, time 3000ms
temporary ---> s'agit du même adresse que je vois sur le site test-ipv6.com donc même resultat

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 282
  • FTTH 1Gb/s sur Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #10 le: 17 septembre 2020 à 14:09:38 »
Donc les icmpv6 ne passent  pas ce qui explique que le test "Test IPv6 large packet" ne passe pas.

Ce n'est pas forcement le routeur cela peut-être le PC.

que donne un ping de subnetonline sur 'xxxx:xxx:xxx:xxxx::1/64' (l'adresse lan du switch0 telle que dans la config du 1er post) ?



TheMadcapLaughs

  • Client Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #11 le: 17 septembre 2020 à 14:32:26 »
Voici les résultat

IPv6 Ping Output:
 ---- Finished ------

J'ai mis carrement la valeur prise de
 
switch switch0 {
        address 192.168.3.1/24
        address fe80::1:1/64
        address 2a01:aaa:uuu:iiii::1/64
        description Local

qui correspond au deuxieme préfixe donné par la freebox.

Je suis en train de me poser une question, est-ce que a encore du sens m'embetter avec cette configuration manuelle ou je peux passer par l'autoconfiguration (slaac)?
En lisant le thread que j'ai mis dans mon premier post j'ai cru comprendre que Free ne supporte pas le Slaac mais si je regarde ce thread, par exemple, https://lafibre.info/remplacer-freebox/freebox-en-bridge-et-ipv6-avec-opnsense-pfsense/, l'option SLAAC fait bien partie des possibilités.
J'ai du mal à comprendre...

 

Mobile View